Aktuelles

[Sammelthread] Sophos UTM-Sammelthread

pfaelzer

Neuling
Mitglied seit
26.08.2012
Beiträge
133
entweder ich oder ihr habt es verkehrt herum verstanden :).

Homenetz mit der UTM
192.168.178.0/24
UTM hat die 192.168.178.254
Gateway 192.168.178.254

Das entfernte Netz
192.168.0.0/24
Router hat die 192.168.0.1
Gateway 192.168.0.1
Raspberry hat die 192.168.0.2
Gateway 192.168.0.1

VPN über SSL läuft. Ich habe vom Homenetz also 192.168.178.0/24 Verbindung zum Raspberry also 192.168.0.2 der den OpenVPN Server stellt.
Vom Homenetz habe ich sonst auf kein Gerät zugriff
Vom entfernten Netz habe ich allerding auf das komplette Homenetz zugriff

Ich vermute, dass ich der UTM also auf der Homeseite sagen muss, wenn ich den IP Bereich 192.168.0.0/24 will muss es über die VPN Verbindung geleitet werden.
Oder habe ich da ein Denkfehler und der UTM schickt es schon da rüber aber der Raspberry blockt da dann ab und leitet die Infos nicht weiter


EDIT:
wenn ich mir aber weiter darüber Gedanken mache, kann es ja fast nicht an der UTM liegen. Denn diese weiß ja von der 192.168.0.2 auch nichts, sondern nur den Breich 192.168.0.0/24
Somit müsste die UTM ja alles brav weiter reichen.
Somit muss ich dem Raspberry irgendwie sagen, was er mit der Anfrage machen soll. Ist in dem Fall ein Gatewayeintrag im Raspberry das richtige? Muss ich nicht der VPN Config sagen, es gibt nicht nur dich sondern den ganzen Bereich?
 
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.

pfaelzer

Neuling
Mitglied seit
26.08.2012
Beiträge
133
das habe ich im laufe des gestrigen Abends aktiviert. Jedoch brachte dies alleine keine Verbesserung.
raspberrpiroute.JPG
So siehen aktuell die routen auf dem raspberry aus.

muss ich auf dem raspberry noch eine route in die config schreiben? z.B. so
push "route 192.168.X.0 255.255.255.0"

Welche Adresse müsste dies dann sein? Irgendwie steh ich da etwas auf dem Schlauch
 

bacon

Experte
Mitglied seit
14.08.2012
Beiträge
215
Ich habe hier ein ähnliches Problem, allerdings zwischen der UTM und einer FritzBox auf IPSec Basis.

Die Config habe ich laut dieser Seite durchgeführt
https://www.bergercity.de/networking/sophos-astaro-lan-lan-mit-fritzbox/comment-page-1/

Von meinem Netz 192.168.2.0/24 komme ich in das entfernte Netz 192.168.4.0/24
Aber umgekehrt geh gar nichts, wobei ich die Firewall-Regel automatisch erstellen ließ.
Nach langem hin und her hatte ich auch mal dran gedacht, wenn ich physisch im anderen Netz war, einen Tracert los zu schicken.
Dieser blieb erfolglos, da er aus meiner Sicht nicht wusste wo hin er die Anfrage schicken sollte.
Auch im Firewall Log der UTM waren zu dem Zeitpunkt keine blockierten Anfragen aus dem Netz noch von der externen Adresse zu sehen.

Weiß von euch einer woran das liegen kann?
Das ist meine FritzBox Config
Code:
vpncfg {
    connections {
        enabled = yes;
        conn_type = conntype_lan;
        name = "Sophos UTM";
        always_renew = yes;
		keepalive_ip = 192.168.2.254;
        reject_not_encrypted = no;
        dont_filter_netbios = yes;
        localip = 0.0.0.0;
        local_virtualip = 0.0.0.0;
        remoteip = 0.0.0.0;                
        remote_virtualip = 0.0.0.0;
        remotehostname = "dyndns2"; 
        localid {
            fqdn = dyndns1;
        }
        remoteid {
            fqdn = dyndns2;
        }
        mode = phase1_mode_idp;
        phase1ss = "alt/all-no-aes/all";
        keytype = connkeytype_pre_shared;
        key = "Key";  
        cert_do_server_auth = no;
        use_nat_t = no;
        use_xauth = no;
        use_cfgmode = no;
        phase2localid {
            ipnet {
                ipaddr = 192.168.4.0;
                mask = 255.255.255.0;
            }
        }
        phase2ss = "esp-3des-sha/ah-no/comp-no/pfs";
        accesslist = "permit ip any 192.168.2.0 255.255.255.0";
    }
    ike_forward_rules = "udp 0.0.0.0:500 0.0.0.0:500",
    "udp 0.0.0.0:4500 0.0.0.0:4500";
}
 

sashXP

Enthusiast
Mitglied seit
21.10.2001
Beiträge
1.876
Ort
Hildesheim
Hallo

da mein Jetway Mini ITX nun mehrere Jahre (6) auf dem Buckel hat möchte ich ein neues Motherboard verbauen. Gehäuse ist ein LC-Power LC-1340.

Hat die Community eventuell eine Empfehlung? Gesucht wird ein Mini ITX

- Lüfterlos bzw sehr leise
- Mindestens 3x Lan evtl, Daughterboard?
- Stromsparend
- Sophos UTM 9 Kombatibel

Hast Du etwas passendes gefunden?
 

Opticum

Experte
Mitglied seit
15.08.2013
Beiträge
956
Ich suche auch noch etwas passendes. Lower Power, AES-NI. IPS und Web Filter wird nicht benutzt. Es gibt was von Lanner aber kostet um die 450,- € hat dafür aber auch Intel NICs.
 

salnet

Experte
Mitglied seit
27.03.2014
Beiträge
99
Ort
bei Bonn
Hallo zusammen,

nachdem ich kürzlich günstig einen Server mit einem 4-Core-Xeon geschossen habe (HP DL320e Gen8v2, 32 GB RAM), dachte ich mir, ich baue mir mein Homelab mal ein bisschen professioneller auf - der Microserver steht schon bei Ebay :-)

Der Server hat zwei LAN-Ports on board, laufen lasse ich eine vSphere 6 (U2) Umgebung.
Als Modem wird eine Fritzbox 7490 benutzt (welche aufgrund von Telefonie auch weiterlaufen soll) - Exposed Host ist eingeschaltet und zeigt auf die Sophos mit einer statischen Adresse 192.168.178.2, DHCP ist ausgeschaltet.
Von Netcologne kommt eine feste IPv4.

Aufbau ist folgendermaßen:
Fritzbox Port 1 (192.168.178.1) -> Server Port 1 (eth0)
HW-Switch Internes LAN (10.0.0.5) -> Server Port 2 (eth1)
In vSphere sind 2 Switche definiert, vSwitch0 für internes LAN und Management, vSwitch1 für WAN.

In Sophos ist eth1 als internes Netz deklariert mit der IP 10.0.0.1 - Haken bei default Gateway ist nicht gesetzt.
eth0 ist das externe Netz (= Fritzbox). Hier ist die IP 192.168.178.2 eingetragen, der Haken bei default Gateway ist gesetzt und als IP steht da 192.168.178.1 (die Adresse der Fritzbox).

Irgendwas scheine ich falsch gemacht zu haben, da ich von meinen Clients die am HW-Switch hängen nur im internen Netz rumgurken kann, Zugang zum Internet besteht nicht.
FW-Regel besteht derzeit testweise auf Any-Any-Any.

Hat jemand eine Idee für mich?
 
Zuletzt bearbeitet:

Belatis

Semiprofi
Mitglied seit
07.08.2007
Beiträge
1.893
salnet: DNS konfiguriert in der Sophos und auf den Clients? Ansonsten kannst du unter Support -> Tools -> DNS-Lookup testen, ob die Sophos überhaupt richtig auflösen kann.

2016-07-04 08_55_30.png
 
Zuletzt bearbeitet:

salnet

Experte
Mitglied seit
27.03.2014
Beiträge
99
Ort
bei Bonn
Belatis: Ja, DNS ist als Availability Group definiert wie in der Anleitung von Sophos beschrieben, die Clients kriegen den DNS (=Sophos 10.0.0.1) über DHCP mitgeteilt.
Ich krieg auch keinen Ping nach draußen raus, auch nicht auf eine IP.
 

Opticum

Experte
Mitglied seit
15.08.2013
Beiträge
956
salnet: hast du NAT Masquarading eingerichtet? Intern -> WAN, Firewall Regel angelegt Intern -> Any -> WAN ? (Any bitte durch die gewünschten Dienste ersetzen)
 

Opticum

Experte
Mitglied seit
15.08.2013
Beiträge
956
salnet: kommt die UTM selbst denn in's Internet? (Support, Tools, Ping Check) - Kannst du die UTM von den Clients aus anpingen? Steht die UTM bei den Clients als Gateway drin? (ipconfig checken)
 

salnet

Experte
Mitglied seit
27.03.2014
Beiträge
99
Ort
bei Bonn
Sorry, dass ich mich jetzt erst melde. Als ich gestern Abend von der Arbeit kam, hatte sich das Problem in Rauch aufgelöst - keine Ahnung warum, aber die Clients kommen ins Netz, warum, weiß ich auch nicht - geändert hatte ich nichts mehr.
 

Olaf16

Urgestein
Mitglied seit
28.09.2008
Beiträge
5.652
Kleine Frage in die Runde:



Wieso kann ich bei "Interface" nichts auswählen beim Erstsetup? Das ist mir schon mit der letzten 9.403 Version aufgefallen. Weder VMXNET3 Adapter noch PCI-Geräte per Passthrough werden zum auswählen angezeigt (Beim Setup selber ganz am Anfang wird alles sauber aufgelistet - auch später in der Weboberfläche)

Jetzt bei 9.404 (Neueste Software) auf ESXi das gleiche als für nen Freund seine Sophos einrichten wollte. Nichts schlimmes, geht aber auf die Nerven weil man danach alles Manuell machen muss :fresse:
 

Fatality

Enthusiast
Mitglied seit
29.12.2004
Beiträge
1.475
weil faule schweine bei sophos sitzen denen es wurscht is ob sich anfänger damit schwer tun^^

mir ist das auch aufgefallen und weil ich mir das nicht merken will habe ich mir 5 screenshots gemacht falls die das jetzt die nächsten 10versionen so beibehalten (was wahrscheinlich ist).
 

Olaf16

Urgestein
Mitglied seit
28.09.2008
Beiträge
5.652
Das nervt halt einfach. Ich komme damit zurecht, sogar Sophos Certified Engineer :fresse:
Es macht eine (schnelle) Ersteinrichtung einer Testfirewall bzw. neuen Umgebung nur unnötig komplizierter. Sind zwar wenige Schritte, aber sind halt auch wieder 5 min vom Leben :d
 

Opticum

Experte
Mitglied seit
15.08.2013
Beiträge
956
Ich suche noch ein funktionierendes "6tunnel" binary für die UTM. Ich hatte mal eine, aber brauchte ich zu dem Zeitpunkt nicht. Wäre cool wenn das jemand hat?
 

Tr4c3rt

Experte
Mitglied seit
21.09.2013
Beiträge
1.664
Ort
Dortmund
Gibt es irgendeine schnelle Lösung für ein per ABS File eingespielte SSL VPN (Sophos ist Client) den Zielhost zu ändern und alle anderen Einstellungen beizubehalten?
Kann man so ein ABS irgendwie wieder downloaden oder bekommt man über die Shell zugriff?

Das File und die Zertifikate sind weg, daher müsste ich sonst Alles komplett neu aufsetzen und dabei hat sich nur der Zielhost geändert.
 
Zuletzt bearbeitet:

thaliya

Experte
Mitglied seit
12.05.2014
Beiträge
17
Der Sammethread gefällt mir, ich spiele auch grad mit Sophos rum :)

Hat jemand die virtuelle UTM (9.3) auf Hyper-V 2012 R2 laufen? Ich habe damit nervige Netzwerkprobleme. Als beispiel:

Ständige Pingverluste, manchmal über mehrere Sekunden:
Code:
Antwort von 10.10.10.10: Bytes=32 Zeit=50ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=43ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=49ms TTL=42
Zeitüberschreitung der Anforderung.
Antwort von 10.10.10.10: Bytes=32 Zeit=44ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=42ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=41ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=44ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=44ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=43ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=42ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=50ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=42ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=42ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=43ms TTL=42
Zeitüberschreitung der Anforderung.
Antwort von 10.10.10.10: Bytes=32 Zeit=41ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=45ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=42ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=46ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=45ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=42ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=41ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=43ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=41ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=42ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=42ms TTL=42
Zeitüberschreitung der Anforderung.
Antwort von 10.10.10.10: Bytes=32 Zeit=42ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=45ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=43ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=43ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=45ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=43ms TTL=42
Zeitüberschreitung der Anforderung.
Antwort von 10.10.10.10: Bytes=32 Zeit=43ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=41ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=58ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=44ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=43ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=42ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=39ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=43ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=51ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=43ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=49ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=43ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=42ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=44ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=41ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=44ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=43ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=42ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=43ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=41ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=52ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=44ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=43ms TTL=42
Zeitüberschreitung der Anforderung.
Antwort von 10.10.10.10: Bytes=32 Zeit=50ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=42ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=42ms TTL=42
Antwort von 10.10.10.10: Bytes=32 Zeit=42ms TTL=42
Zeitüberschreitung der Anforderung.
Antwort von 10.10.10.10: Bytes=32 Zeit=45ms TTL=42

Auf VMware läuft ein Testgerät jedoch super. Kann bei diesem Test aber nicht auf Hyper-V verzichten. Habe ähnliche Probleme schon im Netz gelesen aber bis jetzt keine Lösung gefunden :(



Ich habe EXAKT das gleiche Problem - gibt es dafür eine Lösung? Bzw weiß jemand woran es liegt? Unter Esxi lief bei mir alles super. NIC ist Intel Pro 1000. MTU von 1400 in der UTM getestet. UTM ist hinter o2 Homebox (Bald Modem) - aber mit der ging es ja unter esxi auch...

Danke schonmal :)
 
Zuletzt bearbeitet:

Opticum

Experte
Mitglied seit
15.08.2013
Beiträge
956
Da es im Moment eine Aktion gibt in dem der Werber $30 und der Geworbene $20 Bonus Guthaben bekommt bei Vultr, biete ich an Hilfestellung zu geben (per Mail oder Teamviewer) falls sich jemand dort eine VM für Sophos einrichten möchte für eine feste IPv4 für zuhause (Sophos zuhause vorausgesetzt). Einfach PN.
 

Ma$ter

Neuling
Mitglied seit
17.09.2005
Beiträge
373
Ich habe zwei Fragen bzw. Probleme die ich nicht in den Griff bekomme.

1. Mein Interner Webserver ist von außen erreichbar, jedoch werden die Hyperlinks auf der Seite auf den Internen Server verwiesen, was so nicht funktionieren kann.

Bsp. Öffentliche IP --> Webseite X --> Link zum Anmelden = 192.168.178.20 (http://192.168.178.20/Login?returnurl=/)

Was mache ich verkehrt?

2. Beim Surfen von Webseiten, werden mir einige Verlinkungen die einen anderen Port ansprechen nicht angezeigt.

Bsp. Ich möchte einen Link öffnen, hinter dem ein Webserver über Port 8085 Inhalt zur verfügung stellt. Beim Aufrufen des Hyperlinks bzw. Inhalts, gibt es ein Timeout und somit auch nichts zu sehen. Dieses Problem tritt nur im Internen Netzwerk auf. Die Leute im WWW können den Inhalt jedoch ohne Probleme aufrufen.

Ich würde mich freuen, wenn mir bei meinen beiden Problemen helfen könnte.
 

Batey

Neuling
Mitglied seit
20.04.2012
Beiträge
151
1. Mein Interner Webserver ist von außen erreichbar, jedoch werden die Hyperlinks auf der Seite auf den Internen Server verwiesen, was so nicht funktionieren kann.

2. Beim Surfen von Webseiten, werden mir einige Verlinkungen die einen anderen Port ansprechen nicht angezeigt.

Bsp. Ich möchte einen Link öffnen, hinter dem ein Webserver über Port 8085 Inhalt zur verfügung stellt. Beim Aufrufen des Hyperlinks bzw. Inhalts, gibt es ein Timeout und somit auch nichts zu sehen. Dieses Problem tritt nur im Internen Netzwerk auf. Die Leute im WWW können den Inhalt jedoch ohne Probleme aufrufen.

@1. Hast Du NAT für den internen Server eingerichtet oder verwendest Du Web Application Firewall?

@2. Wer sind diese Leute im WWW? Der Webserver steht extern? Dann musst Du den entsprechenden Port in der FW auch erlauben. Oder eben alle "Any" nach extern erlauben.
 

blongmon

Neuling
Mitglied seit
24.03.2014
Beiträge
28
Moin Moin,

habe seit einiger Zeit das Problem das meine Sophos auf der Version 9.311-3 hängt.
Die anstehenden Updates schlagen alle Fehl :(
Wenn man ins Log schaut kommt folgende Meldung bei den einzelnen Paketen:


' ep-up2date-pattern-install is needed by u2d-savi-9-9506.i686


Jemand ne Idee hierzu?
 

Ma$ter

Neuling
Mitglied seit
17.09.2005
Beiträge
373
@ Batey

Sorry, dass ich erst jetzt antworte. Habe zu viel Stress auf Arbeit und bin am Ende nicht dazu gekommen, dir zu antworten.

Zu 1. Ich habe den Port 8087 in den Misc Setting (Web Protection --> Filtering Options) eingetragen, sowie den Proxy auf den Clients eingetragen, Nun läufts.

Zu 2. Ich verwende den Web Application Server.

Hierzu die Lösung: Im Virtuellen Server musten paar Häckchen gesetzt werden (Pass host header und Rewrite HTML)
 
Oben Unten